Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Conocimientos imprescindibles
Índice
• Introducción
• Uso de defensas en el perímetro
• Uso de Microsoft® Internet Security and Acceleration (ISA) Server
para proteger los perímetros
• Uso de Firewall de Windows para proteger a los clientes
• Protección de redes inalámbricas
• Protección de comunicaciones mediante IPSec
1
1. Introducción
Cap5-01.jpg
2
Nivel de directivas, procedimientos y concienciación:
programas de aprendizaje de seguridad para los usuarios
Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento
Nivel perimetral: servidores de seguridad de hardware,
software o ambos, y redes privadas virtuales con
procedimientos de cuarentena
Nivel de red de Internet: segmentación de red, Seguridad IP
(IPSec) y sistemas de detección de intrusos de red
Nivel de host: prácticas destinadas a reforzar los servidores
y clientes, herramientas de administración de revisiones,
métodos seguros de autenticación y sistemas de detección
de intrusos basados en hosts
Nivel de aplicación: prácticas destinadas a reforzar las
aplicaciones y el software antivirus
Nivel de datos: listas de control de acceso (ACL) y cifrado
3
Las redes privadas virtuales (VPN, Virtual Private Network)
representan un punto de entrada destructivo y pernicioso de
virus y gusanos en muchas organizaciones que omiten el
servidor de seguridad.
Los servidores de seguridad con filtrado de paquetes de
primera generación sólo bloquean los puertos de red y las
direcciones de los equipos, permitiendo realizar la mayoría
de los ataques de tipo DoS a servicios específicos, dado
que los equipos que realizan solo filtrado de paquetes tienen
la imposibilidad de elevar los paquetes de datos al nivel de
aplicación, examinar el contenido y desecharlo ó autorizarlo.
4
o La protección del perímetro de su red es el aspecto más importante
para parar un ataque del exterior. Si su perímetro sigue siendo
seguro, su red interna se protege contra ataques externos. Se
enumeran abajo algunas maneras de implementar la defensa del
perímetro: Packet Filtering, Inspección de paquetes, Intrusion Detection
• Las defensas de los clientes bloquean los ataques que omiten las
defensas del perímetro o que se originan en la red interna
• Las defensas de los clientes incluyen, entre otras:
o Refuerzo de la seguridad del sistema operativo
o Programas antivirus
o Servidores de seguridad personales
• Las defensas de los clientes requieren que se configuren muchos equipos
• En entornos no administrados, los usuarios pueden omitir las defensas de
los clientes
5
Clientes Enterprise
Los entornos enterprise se componen de un dominio de Windows 2000 o
Windows Server 2003 con Microsoft Active Directory®. Los clientes en este
entorno son administrados con Group Policy aplicadas a containers, sites,
domains y Organizational Units (OUs). Group Policy provee un método
centralizado para administrar seguridad a través del entorno.
6
• Las amenazas y puntos vulnerables evolucionan constantemente,
dejando a los sistemas en una situación vulnerable hasta que se
conoce un ataque nuevo y se crea y distribuye una nueva firma
Cap5-02.JPG
7
Defensa frente a los ataques en el cliente que se originan en
la red
Detección de los intentos de entrar en el sistema
Control de las personas que pueden tener acceso a la red
Protección de las comunicaciones para lograr
confidencialidad.
Suministro de acceso remoto seguro
En esta presentación, verá la forma en que las tecnologías
como ISA Server, Firewall de Windows, Seguridad IP (IPSec) y
otras tecnologías de seguridad para dispositivos inalámbricos
pueden ayudarle a alcanzar estos objetivos.
8
2. Uso de defensas en el perímetro
En este tema, se explicará el uso de las defensas del perímetro.
Específicamente se tratará:
Cap5-03.JPG
9
o Debe asegurarse de proteger todos los puntos de entrada a una
red interna y que no haya otros no autorizados, como los módems
que se conectan a los equipos cliente o servidores, o los puntos de
acceso inalámbricos con fines sospechosos. La única forma de
asegurar esto es con el uso de políticas GPO en Active Directory.
o Las conexiones del perímetro no sólo están en la oficina principal,
sino en cada ubicación de la organización con presencia en
Internet. Una organización debe ser diligente a la hora de
garantizar que todos los puntos de entrada son seguros y que los
nuevos no permiten introducirse accidentalmente en la
organización. Por ejemplo, un empleado de una sucursal podría
configurar un punto de acceso inalámbrico para utilizar la red en
una sala que no tuviera conexiones de red.
Información adicional:
Cap5-04.JPG
10
o En una configuración de red de perímetro con un servidor de
seguridad de triple interfaz, éste se configura con tres adaptadores
de red. Cada uno de los adaptadores se conecta a una de las
redes siguientes:
Internet
Servidores de la red interna que se encuentran en la subred
protegida
Clientes de la red interna
11
Cap5-05.JPG
12
2.4. Contra qué NO protegen los servidores de seguridad
13
trabaje afuera podría volver a su oficina con su portátil, que utiliza
sin la protección del servidor de seguridad de la organización y que
no contiene una solución antivirus, e infectar con un virus a todos
los equipos internos. En esta situación, el servidor de seguridad no
puede ofrecer ninguna protección y existe un riesgo aún mayor
frente al virus que merodea sin control en la red interna de
confianza.
o Administradores que utilizan contraseñas poco seguras: el uso de
contraseñas seguras y soluciones de autenticación con varios
factores constituyen un principio fundamental de seguridad. Si no
se utiliza una autenticación con varios factores al implementar una
contraseña que no sea extremadamente compleja en un servidor
de seguridad, es muy fácil que éste se vea comprometido.
Cap5-06.JPG
14
servidores de seguridad que se venden como dispositivos son de
software, que se configura de forma personalizada y vienen con
hardware.
o Tenga en cuenta que las diferencias que se pueden ver en este
punto sólo son directrices generales. Debe evaluar cualquier
servidor de seguridad, principalmente en función de su idoneidad
global para realizar las tareas que usted requiera.
o Aunque las diferencias entre los dos tipos de servidores de
seguridad varían, hay algunos aspectos generales que debe
considerar cuando elija uno. Si no sabe con seguridad lo que
necesita, un factor importante a tener en cuenta al tomar una
decisión, es si el servidor de seguridad está certificado por la
International Computer Security Association (ICSA) y si puede
ampliarse para satisfacer las necesidades de su organización
ahora y en el futuro.
Recursos adicionales:
• Filtrado de paquetes
• Inspección de estado
• Inspección del nivel de aplicación
Cap5-07.JPG
15
o Los servidores de seguridad tradicionales proporcionan la forma
más básica de protección: filtran paquetes específicos. El filtrado
de paquetes IP intercepta y evalúa los paquetes antes de pasar por
un servidor de seguridad. Los filtros de paquetes IP controlan el
acceso en función de las direcciones IP de origen y destino, el
protocolo de comunicación y el puerto IP (canal de comunicación)
que se utilizan. El problema de este enfoque es que sólo se
pueden filtrar los aspectos de nivel inferior de un paquete de red,
no el contenido del tráfico.
o Un servidor de seguridad con inspección de estado inspeccionará
un paquete IP cuando llegue a él desde Internet. El servidor de
seguridad debe decidir si el paquete se debe reenviar a la red
interna. Para ello, "echa un vistazo" a fin de comprobar qué
conexiones han sido abiertas desde la red hacia Internet (lo que
también se conoce como tráfico solicitado). Si hay una conexión
abierta que se aplique al paquete que ha llegado desde Internet, se
le permitirá el paso. De lo contrario, el paquete se rechazará.
o La inspección del nivel de aplicación es la clave. Si conoce el
protocolo de comunicación de una aplicación, el servidor de
seguridad puede inspeccionar el tráfico legítimo y actuar como
protección frente a una comunicación peligrosa o inapropiada. Sólo
se permite el paso a través del servidor de seguridad a los
paquetes que cumplen las definiciones del protocolo.
o Los filtros del nivel de aplicación son lo suficientemente inteligentes
como para inspeccionar la información que pasa a través del
servidor de seguridad. Por lo tanto, estos filtros pueden cerrar los
puntos débiles específicos de las aplicaciones. Además, las reglas
del servidor de seguridad pueden especificar recursos
determinados de la aplicación a los que se concede o deniega el
acceso. Por ejemplo, es posible que un servidor de seguridad del
nivel de aplicación pueda inspeccionar el tráfico HTTP y bloquee
las solicitudes no válidas destinadas a los servidores Web.
o Microsoft ISA Server es un ejemplo de servidor de seguridad que
realiza todos estos tipos de inspección.
16
3. Uso de ISA Server para proteger los perímetros
En este tema, se explicará el uso de ISA Server para proteger los perímetros.
Específicamente se tratará:
Cap5-08.JPG
17
Información adicional:
18
o ISA Server 2000 puede elevar los datos hasta el nivel de aplicación
del modelo OSI y examinar el contenido de los paquetes.
Información adicional:
Cap5-09.JPG
o ISA Server funciona como servidor proxy. Esto significa que ISA
Server procesa todas las solicitudes de cliente y nunca permite
ningún tráfico de red directo entre un cliente y un servidor, que
estén en lados diferentes del servidor de seguridad.
o Aunque es posible mejorar las funciones de ISA Server, si se
configura el software de cliente puede proporcionar protección para
todos los equipos que utilizan TCP/IP, sin tener que emplear
software especial en los equipos cliente.
o Las reglas, extremadamente configurables, permiten controlar de
forma granular el tráfico entrante y saliente.
Por ejemplo, se pueden crear reglas para permitir
únicamente el tráfico HTTP a los sitios de los socios
comerciales de 8 a.m. a 1 p.m. De 12 p.m. a 1 p.m. se
permite el acceso HTTP sin restricción pero se concede
mayor prioridad al tráfico SMTP. De 1 p.m. a 5 p.m., de
19
nuevo las reglas sólo permiten el tráfico HTTP a los sitios de
los socios comerciales. Después de las 5 p.m., las reglas
HTTP son menos estrictas.
o Microsoft ha publicado el kit de desarrollo de software (SDK), que
está disponible públicamente. Esto facilita a los programadores de
Microsoft y a otros proveedores la adición de funciones a ISA
Server. Los siguientes son ejemplos de proveedores que
proporcionan complementos:
Elaboración de informes: Revisión e informes del tráfico a
través de ISA Server: Aelita Software, Burst Technology,
Sane Solutions, Secure Computing, Soft-ex
Communications, Wavecrest Computing, WebSpy y
WebTrends
Servicios de seguridad: Corbett Technologies, Foundstone e
InDepth Technologies
Detección de intrusos: GFI e Internet Security Systems
Control del uso de Internet en la organización: 8e6
Technologies, Burst Technologies, Cobion AG, Conerpost
Software, FilterLogic, Futuresoft Inc, iCognito Technologies,
N2H2 Inc, Nexus Technology Ltd, Secure Computing
Corporation, SurfControl, Wavecrest Computing y
Websense Inc.
20
con las reglas de destino configuradas en el servidor y reenvía las
solicitudes al servidor Web interno. ISA Server también registrará
los paquetes que no cumplan las reglas definidas por el
administrador y, si se desea, los paquetes que sí las cumplan.
o ISA Server puede inspeccionar el tráfico de Secure Sockets Layer
(SSL) y terminar el túnel SSL cifrado desde el cliente. Si las reglas
permiten este tráfico, ISA Server puede reenviar las solicitudes al
servidor Web publicado, ya sea de forma cifrada o sin cifrar. La
ventaja principal es que ningún tráfico puede pasar a la red interna
sin que ISA Server realice una inspección completa del mismo para
asegurarse de que cumple las reglas y los estándares.
Información adicional:
3.5. URLScan
21
Cap5-10.JPG
22
continuación, aplique la configuración de URLScan más restrictiva
en el servidor que la requiera.
Cap5-11.JPG
23
o La publicación de Llamada a procedimiento remoto (RPC, Remote
Procedure Call) proporciona acceso seguro a los clientes Outlook
en Internet. Para ello, ISA Server inspecciona el tráfico RPC y
únicamente abre los puertos necesarios para que un cliente se
comunique con el servidor Exchange.
o El paquete de características 1 de ISA Server también automatiza
la publicación en Web para proteger el tráfico de Outlook Web
Access (OWA) y Outlook Mobile Access (OMA). El asistente de
publicación configura todas las reglas necesarias para esta tarea.
24
o Utilice una estrategia de defensa en profundidad para detectar el
tráfico problemático una vez descifrado el tráfico VPN. Para ello,
puede utilizar sistemas de detección de intrusos en la red.
o Utilice un servidor de seguridad que pueda inspeccionar el tráfico
SSL entrante. ISA Server puede ocuparse de ello. En la siguiente
dispositiva se explica esto detalladamente.
o Expanda las capacidades de inspección del servidor de seguridad.
Por ejemplo, Akonix proporciona un complemento para ISA Server
que permite la inspección del tráfico de IM.
Información adicional:
25
• Refuerzo de la pila de red
• Deshabilite los protocolos de red innecesarios en la interfaz de red
externa:
26
Cap5-25.jpg
27
Cap5-24.jpg
3.12. Recomendaciones
28
o La inspección SSL permite la inspección y modificación del tráfico
HTTP. Los puentes de SSL se utilizan cuando ISA Server finaliza
una conexión SSL o cuando la inicia.
29
4. Uso de Firewall de Windows para proteger a los clientes
Cap5-12.JPG
30
Cap5-13.JPG
31
todo el tráfico entrante de Internet con las entradas de la tabla. ICF
permite que el tráfico entrante de Internet llegue a los equipos de la
red sólo cuando haya una entrada coincidente en la tabla que
muestre que el intercambio de comunicación procede del equipo o
de la red privada.
o Protección contra las amenazas de Internet. Para frustrar intentos
de ataque comunes (como la exploración de puertos), el servidor
de seguridad cierra las comunicaciones que proceden de Internet.
En lugar de enviar notificaciones, a menudo ICF crea un registro de
seguridad para realizar un seguimiento de la actividad del servidor
de seguridad. Para obtener más información, consulte el registro
de seguridad de Servidor de seguridad de conexión a Internet.
Limitaciones de ICF
o Sin filtrado del tráfico saliente. Esto significa que ICF no protege
contra gusanos que inicien tráfico saliente. Algunos gusanos
recientes han mostrado este comportamiento como medio para
replicarse a sí mismos.
o Problemas de soporte técnico y software. La implementación de
ICF en clientes, cuando están conectados a la red corporativa,
puede causar problemas importantes de soporte técnico y
software, que es necesario evaluar cuidadosamente. Por ejemplo,
la habilitación de ICF impedirá el funcionamiento de importantes
herramientas de soporte técnico como Microsoft Baseline Security
Analyzer (MBSA) y detendrá herramientas de distribución de
software como Systems Management Server.
o Opciones de configuración limitadas. ICF actualmente cuenta con
un conjunto limitado de opciones de configuración, aunque esto se
mejorará en el Service Pack 2 de Windows XP. ICF en Windows
XP se atiene a NLA (Network Location Awareness) y se puede
deshabilitar mediante Active Directory o Directiva de grupo en
Windows Server 2003. Los usuarios portátiles no tienen que
acordarse de habilitar o deshabilitar ICF cuando estén de viaje.
Pueden dejar ICF habilitado y estar protegidos mientras están en
casa o de viaje. En la oficina, Directiva de grupo puede deshabilitar
ICF siempre que un equipo se conecte a la red corporativa.
• Se puede habilitar:
• Al activar una casilla de verificación
• Con el Asistente para configuración de red
• Con el Asistente para conexión nueva
32
• Se habilita de forma independiente en
cada conexión de red
Cap5-14.JPG
33
Internet. Puede deshabilitarlo en una conexión Ethernet que utilice
para conectarse a la red corporativa.
• Servicios de red
• Aplicaciones basadas en Web
Cap5-15.JPG
34
correo nuevo. Dado que Firewall de Windows inspecciona todas las
comunicaciones entrantes, algunos programas, especialmente los de
correo electrónico, se podrían comportar de forma diferente si lo activa.
Algunos programas de correo electrónico sondean periódicamente su
servidor para comprobar si hay correo nuevo. Otros esperan que el
servidor de correo les notifique ese hecho. Firewall de Windows no afecta
al comportamiento de Outlook Express porque la solicitud de notificar el
correo electrónico nuevo se origina desde dentro del servidor de
seguridad. Sin embargo, Microsoft Outlook 2000 se conecta a un servidor
basado en Microsoft Exchange que utiliza RPC para enviar a los clientes
las notificaciones de recepción de mensajes nuevos. Como la notificación
RPC se inicia en un servidor basado en Exchange que está fuera del
servidor de seguridad, Firewall de Windows no permite que los mensajes
RPC lleguen a la red doméstica desde Internet. El mensaje con la
notificación RPC se descarta. Puede enviar y recibir mensajes de correo
electrónico pero debe comprobar usted mismo si hay mensajes nuevos o
bien puede configurar Outlook 2000 y Outlook 2003 de modo que
sondeen el servidor Exchange para comprobarlo. Adicionalmente usted
puede configurar el servidor Exchange 2003 funcionando sobre un
Windows Server 2003 y un cliente Outlook 2003, para utilizar RPC over
http. Esta nueva funcionalidad le permite realizar una conexión RPC
utilizando como transporte http. Para más información sobre este tema:
http://support.microsoft.com/default.aspx?scid=kb;en-
us;833401&Product=exch2003 (en Inglés)
• Opciones de registro
• Opciones del archivo de registro
35
Cap5-16.JPG
36
4.6. Firewall de Windows en la compañía
Información adicional:
37
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/prodtechnol/windowsserver2003/proddocs/entserver/hnw_
prohibit.asp
4.7. Recomendaciones
38
5. Protección de redes inalámbricas
Cap5-17.JPG
39
• Limitaciones de Wired Equivalent Privacy (WEP)
40
direcciones IP. Sin embargo, si no se puede entrar en la red, no es
posible suplantar una dirección. Desgraciadamente, hay
herramientas que permiten que un intruso suplante una dirección
MAC.
Información adicional:
41
Protocol Transport Layer Security) para el acceso de red 802.1x.
EAP-TLS utiliza certificados para la autenticación mutua de puntos
de acceso y clientes inalámbricos.
o En ciertas circunstancias, es posible utilizar otras opciones:
42
o Observe que, cuanto mayor es la seguridad, más difícil se vuelve la
implementación. No obstante, puede ahorrar tiempo en la
implementación de soluciones muy seguras si la centraliza y utiliza
herramientas de administración centralizada, por ejemplo,
directivas de grupo.
5.5. 802.1x
43
conmutada para autenticar los dispositivos que se conectan
a un puerto LAN e impedir el acceso a ese puerto en los
casos en los que el proceso de autenticación no se realiza
correctamente.
• Durante la interacción del control de acceso de red
basado en puertos, un puerto LAN adopta una de dos
funciones: autenticador o solicitante. En la función de
autenticador, un puerto LAN exige la autenticación
antes de permitir que el usuario tenga acceso a los
servicios conectados al puerto. En la función de
solicitante, un puerto LAN solicita el acceso a los
servicios conectados al puerto que actúa como
autenticador. Un servidor de autenticación, que
puede ser una entidad independiente o ubicada junto
al autenticador, comprueba las credenciales del
solicitante en nombre del autenticador. El servidor de
autenticación responde entonces al autenticador y le
indica si el solicitante dispone de autorización para
tener acceso a los servicios del autenticador.
• El control del acceso a la red basado en puertos del
autenticador define dos puntos lógicos de acceso a la
LAN, a través de un puerto LAN físico. El primer
punto de acceso lógico, el puerto no controlado,
permite el intercambio de datos entre el autenticador
y el resto de los equipos de la LAN,
independientemente del estado de autorización del
equipo. El segundo punto de acceso lógico, el puerto
controlado, permite el intercambio de datos entre un
usuario de LAN autenticado y el autenticador.
IEEE 802.1x utiliza protocolos de seguridad estándar, como
el Servicio de autenticación de Internet (IAS, Internet
Authentication Service) de Servicio de usuario de acceso
telefónico de autenticación remota (RADIUS, Remote
Authentication Dial-In User Service), para permitir la
identificación centralizada de los usuarios, la autenticación,
la administración dinámica de claves y servicios de cuentas.
El uso de IEEE 802.1x ofrece una estructura efectiva para
autenticar y controlar el tráfico de usuarios a una red
protegida, además de las claves de cifrado que varían de
forma dinámica. 802.1x vincula el Protocolo de autenticación
extensible (EAP, Extensible Authentication Protocol) a
medios LAN inalámbricos y con cables, y admite el uso de
varios métodos de autenticación, como son las tarjetas de
token, Kerberos, las contraseñas de un solo uso, los
certificados y la autenticación de claves públicas.
44
5.6. 802.1x en 802.11
Cap5-18.JPG
45
o Para saber cómo funciona 802.1x, a continuación se muestran las
interacciones que se producen entre los elementos de 802.1x:
46
5.7. Requisitos del sistema para 802.1x
• Cliente: Windows XP
• Servidor: IAS de Windows Server 2003
o Servicio de autenticación Internet: nuestro servidor RADIUS
o Certificado en el equipo IAS
• 802.1x en Windows 2000
o El cliente e IAS deben tener SP3
o Vea el artículo 313664 de KB
o No se admite la configuración rápida
en el cliente
o Sólo se admiten EAP-TLS y MS-CHAPv2
Es posible que los futuros métodos de EAP en Windows XP
y Windows Server 2003 no se puedan utilizar
47
• Configurar el punto de acceso para RADIUS y 802.1x
• Crear una directiva de acceso para clientes inalámbricos
• Configurar los clientes: no olvide importar el certificado raíz
• Condición de directiva
o El tipo de puerto NAS coincide con Wireless IEEE 802.11 o con
otro tipo de red inalámbrica
o Grupo de Windows = <algún grupo de AD>
Opcional; proporciona control administrativo
Debe contener cuentas de usuario y de equipo
48
Cap5-20.jpg
49
• Utilice el certificado de equipo que instaló en el servidor IAS.
• Elija el método de cifrado más seguro disponible. Actualmente, es
MPPE de 128 bits, deshabilitar el resto de métodos de cifrado, donde
MPPE es el acrónimo de Microsoft Point-to-Point Encryption (Cifrado
punto a punto de Microsoft).
• Por último, establezca el atributo Ignore-User-Dialin-Properties =
True.
Información adicional:
• Objetivos
50
incluyen funciones de mezcla de claves en cada paquete, un
método de comprobación de la integridad de mensajes (MIC,
Message Integrity Check), también conocido como Michael, y un
vector de inicialización extendido (IV, Initialization Vector) con
reglas de secuenciación.
o WPA implementa 802.1x y EAP para permitir la autenticación de
usuarios. Al igual que en todas las implementaciones de 802.1x, se
necesita una infraestructura de RADIUS (IAS) para realizar la
autenticación.
o WPA será compatible con la especificación de seguridad de IEEE
802.11i que está siendo desarrollada por el IEEE. WPA es un
subconjunto del borrador de 802.11i, que toma ciertas partes del
borrador de 802.11i que ya está preparado para aparecer en el
mercado, como su implementación de 802.1x y TKIP. Estas
características también se pueden habilitar en la mayor parte de
los productos certificados de Wi-Fi como actualización de software.
o En un entorno doméstico o de pequeña oficina u oficina doméstica
(SOHO, Small Office/Home Office), donde no hay servidores de
autenticación centrales ni una estructura de EAP, WPA se ejecuta
en un modo especial. Este modo también se conoce como clave
previamente compartida (PSK, Pre-Shared Key). PSK se ha
diseñado para que sea fácil de configurar, con lo que permite al
usuario doméstico utilizar las claves o contraseñas especificadas
manualmente. El usuario doméstico escribe una contraseña
(también denominada clave maestra) en el punto de acceso o
puerta de enlace inalámbrica doméstica y cada equipo que se
encuentra en la red inalámbrica Wi-Fi. Después, el proceso de
WPA es automático:
La contraseña permite que únicamente los
dispositivos con una contraseña que coincida se unan
a la red, con lo que se evita el acceso de fisgones y
otros usuarios no autorizados.
La contraseña activa automáticamente el proceso de
cifrado de TKIP, que se ha mencionado
anteriormente.
o Una limitación de seguridad importante de WPA en el modo
doméstico es que algunos fabricantes de puntos de acceso
inalámbricos permiten que los usuarios especifiquen contraseñas
que no son complejas. La ausencia de contraseñas complejas
puede hacer que el modo doméstico sea excepcionalmente
vulnerable si se utilizan contraseñas poco seguras y predecibles.
5.12. Recomendaciones
51
• Organice en grupos a los usuarios y equipos inalámbricos
• Aplique directivas de acceso inalámbrico con directivas de grupo
• Utilice EAP-TLS para la autenticación basada en certificados y PEAP
para la autenticación basada en contraseñas
• Configure una directiva de acceso remoto para permitir la
autenticación de los usuarios y de los equipos
• Desarrolle un método que se ocupe de los puntos de acceso
sospechosos, como la autenticación de 802.1x basada en LAN, las
encuestas a sitios, la supervisión de la red y el entrenamiento de los
usuarios
52
posibilidad de que existan puntos de acceso sospechosos. Esto
incluye requerir la autenticación basada en 802.1x en los
conmutadores para garantizar el control de acceso desde la red
con cables, realizar encuestas a los sitios y supervisar la red para
detectar los puntos de acceso sospechosos, y entrenar a los
usuarios.
53
6. Protección de comunicaciones mediante IPSec
Cap5-21.jpg
54
• ¿Qué es Seguridad de IP (IPSec)?
o Un método para proteger el tráfico IP
o Una estructura de estándares abiertos desarrollada por el Grupo
de trabajo de ingeniería de Internet (IETF, Internet Engineering
Task Force)
55
o IPSec pasa completamente desapercibido para las aplicaciones
porque los servicios de cifrado, integración y autenticación se
implementan en el nivel de transporte. Las aplicaciones siguen
comunicándose normalmente entre sí con los puertos TCP y UDP.
Cap5-22.jpg
56
o IPSec puede servir de ayuda en diversos escenarios comunes que
se enumeran. Al crear una directiva IPSec en una organización
para alguno de los escenarios de este punto, considere lo
siguiente:
Evalúe el tipo de información que se envía a través de la red.
• ¿Son datos financieros confidenciales, información
propietaria o correo electrónico? Algunos departamentos
de una compañía pueden requerir un nivel mayor de
seguridad que los demás debido a su función específica.
Considere lo siguiente:
• ¿Qué debe proteger? ¿Debe proteger el tráfico entre
algunos equipos o de todos ellos, o sólo para algunos
protocolos o puertos específicos?
• ¿Cómo debe protegerlo? ¿Debe proteger el tráfico con
Encabezado de autenticación (AH) o también con Carga
de seguridad encapsuladora (ESP, Encapsulation
Security Payload) y con qué grado de seguridad?
• ¿Dónde debe protegerlo? ¿Debe protegerlo sólo a través
de conexiones de acceso remoto o también a través de
la red de área local?
• ¿Quién va a administrar la directiva? ¿Los
administradores de dominios, de servidores o de equipos
locales?
• ¿Funcionará la configuración de cifrado en todos los
equipos pertinentes? ¿Se tendrá acceso a los datos en
equipos con criptografía segura (cifrado 3DES) y también
en equipos donde se utilice criptografía estándar (DES)?
57
o Diseñe, cree y pruebe las directivas de IPSec para cada escenario.
Esto le permite aclarar y especificar qué directivas y estructuras de
directivas son necesarias. Durante las pruebas de los escenarios
de implementación, utilice cargas de trabajo estándar en las
aplicaciones con el fin de obtener resultados realistas. Durante las
pruebas iniciales, puede ver el contenido de los paquetes mediante
el Monitor de red de Microsoft o con un rastreador de red con el
nivel de método de seguridad Sólo integridad o un método de
seguridad personalizado establecido como AH porque el uso de
Cifrado e integridad o ESP con cifrado impedirá ver los paquetes.
Puerto de Puerto de
Desde IP A IP Protocolo Acción
origen destino
58
compatibilidad con las versiones anteriores de diseños de
directivas IPSec y con los programas. Durante la actualización a
Windows Server 2003, se mantiene el valor de configuración de la
clave del Registro NoDefaultExempt=1 existente.
o Cuando haya analizado y determinado a qué tráfico desea permitir
el uso del filtrado de paquetes IPSec, haga lo siguiente para
agregar, modificar o quitar filtros IPSec:
• Cree una consola que contenga Directivas de seguridad
IP. O bien, abra un archivo de consola guardado que
contenga Directivas de seguridad IP.
• Haga doble clic en la directiva que desee modificar.
• Haga doble clic en la regla que contenga la lista de filtros
IP que desee modificar.
• En la ficha Lista de filtros IP, haga doble clic en la lista de
filtros IP que contenga el filtro IPSec que desee
modificar.
• En el cuadro de diálogo Lista de filtros IP, elija entre las
opciones siguientes:
• Para agregar un filtro, haga clic en Agregar.
• Para modificar un filtro existente, seleccione el que
desee y haga clic en Modificar.
• Para quitar un filtro existente, seleccione el que
desee y haga clic en Quitar.
• Si va a agregar o a modificar un filtro, en Propiedades
de filtros IP, haga clic en la ficha Direcciones y, después,
seleccione la Dirección de origen:
59
Servidor DHCP<dinámico> El servidor DHCP del equipo para el que está
configurando este filtro.
60
• Direcciones de difusión IP
• No puede proteger a varios receptores
• Direcciones de multidifusión
• De 224.0.0.0 a 239.255.255.255
• Kerberos: puerto UDP 88 de origen o destino
• Kerberos es un protocolo seguro, que el servicio de negociación IKE
puede utilizar para la autenticación de otros equipos en un dominio
• IKE: puerto UDP 500 de destino
• Obligatorio para permitir que IKE negocie los parámetros de seguridad de
IPSec
• Windows Server 2003 configura únicamente la exención predeterminada
de IKE
Información adicional:
61
6.7. Comunicaciones internas seguras
62
Información adicional:
Cap5-23.jpg
63
o Utilice ESP para cifrar el tráfico y elija el algoritmo de cifrado más
seguro disponible para IPSec basado en Windows, que es 3DES.
o En el servidor de seguridad, permita el paso de todo el tráfico que
provenga de o se dirija a:
El puerto UDP 500 de cada controlador de dominio, que es
utilizado por IKE
El protocolo IP 50, que es utilizado por ESP
• VPN de cliente
o Utilice L2TP/IPSec
• VPN de sucursal
o Entre Windows 2000 o Windows Server, con RRAS: utilice túnel
L2TP/IPSec (fácil de configurar, aparece como una interfaz
enrutable)
o A una puerta de enlace de terceros: utilice L2TP/IPSec o el modo
de túnel puro de IPSec
o A la puerta de enlace RRAS de Microsoft Windows NT® 4: utilice
PPTP (IPSec no está disponible)
Información adicional:
64
o Consulte “Special IPSec Considerations” en:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/sag_IPSecbpSpecial.asp
65
criptográfico en el hardware de la tarjeta de interfaz de red (NIC,
Network Interface Card) o mediante CPU más rápidas.
6.11. Recomendaciones
66
directivas IPSec para estos servidores no impiden las
comunicaciones.
67
7. Práctica a Inspección del nivel de aplicación en ISA Server
Publicación en Web Message Screener
68
Crear un conjunto de destinos
CAMBIE AL ISA
1. Guía 2. Pasos
En ISA Server se utiliza un conjunto de
destinos para identificar qué solicitudes
se reenviarán a un servidor interno. ISA
Server inspeccionará la dirección URL de
la solicitud HTTP para asegurarse de que
se especifica la correcta. Si no lo es,
rechaza la solicitud. Éste es uno de los
modos en que ISA Server realiza el
filtrado del nivel de aplicación. Crearemos
un conjunto de destinos denominado
Página de inicio Web para el destino
FQDN del ISA Server.
69
Crear una regla de publicación en Web
3. Guía 4. Pasos
El proceso de hacer que los servicios de
la red interna estén disponibles para los
usuarios externos se conoce como
publicación. Cuando usted publica
contenido en la red privada, ISA Server
se ocupa de todas las solicitudes
entrantes que provienen de los clientes
externos y las reenvía al servidor
apropiado en la red interna.
Cree una regla de publicación en Web 11. En Administración de ISA, en el árbol de la
denominada Página Web pública que consola, expanda Publicación.
redirija todo el tráfico de red para el 12. Haga click en Reglas de publicación en
conjunto de destinos que hemos creado Web.
anteriormente a “Server Interno”, que es 13. En el panel de detalles, haga click en Crear
el servidor Web público. una regla de publicación en Web.
14. En el Asistente para nuevas reglas de
publicación en Web, escriba Página Web
pública.
15. Haga click en Siguiente.
16. En la página Conjuntos de destinos, en el
cuadro Aplicar esta regla a, haga click en
Conjunto de destinos especificados.
17. En el cuadro Nombre, haga click en Página
Web pública.
18. Haga click en Siguiente.
19. En la página Tipo de cliente, haga click en
Cualquier petición.
20. Haga click en Siguiente.
21. En la página Acción de regla, haga click en
Redirigir la petición a un servidor Web
interno.
22. En el cuadro Redirigir la petición a un
servidor Web interno, escriba “Server
Interno”.
23. Haga click en Siguiente.
24. En la página Finalización del asistente,
haga click en Finalizar.
70
Ahora reinicie el servicio Proxy Web para 25. En el menú Herramientas administrativas,
comprobar que el cambio de abra Servicios.
configuración surte efecto de inmediato. 26. En el panel de detalles, haga click con el
Si no se hace esto, ISA Server podría botón secundario del mouse (ratón) en
esperar durante un breve período antes Microsoft Web Proxy y, después, haga click
de aplicar los cambios. De esta forma se en Reiniciar.
asegura que los diversos cambios de 27. Cuando el servicio se haya iniciado,
configuración realizados se aplican al minimice Servicios.
mismo tiempo.
71
9. Pasos siguientes
En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para:
72